Egy bank megsértette az adattakarékosság és az átlátható adatkezelés elvét

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A NAIH szerint a Banknak nem minden adat kezeléséhez volt jogalapja, illetve olyan adatokat is kezelt, amely a jogszabály alapján nem szükséges a babaváró kölcsön törlesztésének felfüggesztéséhez.

A NAIH-hoz közérdekű bejelentés érkezett, amelyben a bejelentő előadta, hogy babaváró kölcsönt vett fel a házastársával a Banktól. A bejelentő és a házastársa kérték a Banktól a kölcsön törlesztésének felfüggesztését. A Bank ügyintézője lemásolta a teljes várandósgondozási könyvet annak igazolására, hogy a magzat betöltötte a 12. hetet.

A közérdekű bejelentés alapján a NAIH hatósági ellenőrzést indított annak vizsgálatára, hogy a Bank babaváró kölcsönökkel összefüggésben végzett általános adatkezelési gyakorlata megfelel-e a GDPR előírásainak.

A Bank nyilatkozata és a hatósági ellenőrzés során feltárt további információk alapján valószínűsíthető volt, hogy a Bank megsértette a GDPR rendelkezéseit, ezért a NAIH hivatalból adatvédelmi hatsági eljárást indított.

A Bank a babaváró kölcsön törlesztésének szüneteltetéséhez és gyermekvállalási támogatás igényléséhez ugyanazt a formanyomtatványt rendszeresítette. Ezen kérelmekhez a babaváró támogatásról szóló 44/2019. (III.12.) Korm. rendeletben (a továbbiakban: Korm.) felsorolt dokumentumok eredetijének bemutatását követelte meg, amelyekről másolatot készített.

Az okiratokról készült elektronikus másolatokat a Bank, illetve jogelődjei a folyamatkezelő rendszereikben rögzítették és tárolták. A papír alapú dokumentumokat a fiókokban található ügyféldossziékban helyezték el.

A Bank az eljárás során hivatkozott a Hatóság azon korábbi – Adatvédelmi tisztviselők 2019. évi konferenciája, Az adatvédelmi tisztviselőktől érkezett, a videós előadások keretében nem megválaszolt kérdések című dokumentum 25. kérdésében kifejtett – álláspontjára, miszerint „A Hatóság abban az esetben fogadja el másolatok készítését, ha a munkáltató mint adatkezelő olyan gyakorlatot alakít ki, amelynek során kizárólag olyan adatokról készít másolatot, amelynek kezelésére egyébként jogosult. Ebben az esetben az okmányon található adat lemásolása ugyan adatkezelési művelet, de nem új adatkezelési cél az adatgyűjtés eredeti céljához képest, hanem az eredeti adatkezelési céllal és ahhoz kapcsolódó jogalappal történő adatgyűjtés egy olyan módja, amely egyébként segít az adatok pontosságának biztosításában.”

A Bank a hatósági ellenőrzés megindításáról szóló végzés kézhezvételét követően felülvizsgálta az eljárásrendjét és az érintett formanyomtatványokat. Megszüntette a várandósgondozási könyvek, az örökbefogadást engedélyező határozatok, a vetélést vagy halva születést igazoló dokumentumok másolását, és ezen adatok, körülmények igazolására külön igazolásmintákat készített, amelyeken a támogatott nyilatkozik a bemutatott dokumentumok alapján a Korm. rendelet által rögzíteni rendelt adatok helyességéről.

A Bank úgy nyilatkozott, hogy a már megkötött ügyletek vonatkozásában, melyek során jogszabályi felhatalmazás hiányában készültek másolatok a Korm. rendelet 9. § (2) bekezdés b) és c) pontjai szerinti dokumentumokról, döntött a papír alapú dokumentumok másolati példányainak megsemmisítéséről, a megsemmisítés tényének jegyzőkönyvezéséről, és a jegyzőkönyvben a jogszabályban előírt adatok feltüntetéséről, valamint az elektronikus iratmásolatok törléséről, illetve elkezdte ennek végrehajtását, amelyet a Hatóság lefoglalást elrendelő végzését követően felfüggesztett.

A Bank a NAIH felhívására rendelkezésre bocsátotta a 2019. július 1.-2019. augusztus 1., valamint 2020. január 1.-2020. január 30. közötti időszakokban a várandósgondozási könyvekről készített másolatokat.

A vizsgált időszakban örökbefogadási határozatról nem készült másolat, míg vetélést vagy halva születést igazoló dokumentumról – zárójelentésről – összesen 2 darab másolat készült, másik két esetben már az Ügyfél által elkészített igazolás mintával történt meg a vetélés igazolása, melyek csak a várandós nő természetes személyazonosító adatait, lakcímét, a várandósság 12. hetének betöltésének és a vetélés vagy halva születés napját, valamint a szakorvos azonosításához szükséges adatait és aláírását tartalmazzák.

A NAIH döntése

A Korm. rendelet 14. § (4) bekezdése és 19. § (5) bekezdése úgy rendelkezik, hogy a törlesztés szüneteltetésére, illetve a gyermekvállalási támogatás igénybevételére vonatkozó kérelmet a babaváró kölcsönt nyújtó hitelintézethez kell benyújtani, amelyhez mellékelni kell a Korm. rendelet § (2) bekezdés b) és c) pontja szerinti iratokat. A Korm. rendelet nem definiálja, hogy a benyújtás kifejezés hogyan értendő, ezért a NAIH arra az álláspontra helyezkedett, hogy azt szűkebb értelemben, bemutatásként kell értelmezni.

A várandósgondozási könyvben rögzítendő adatokat, a várandósgondozásról szóló 26/2014. (IV. 8.) EMMI rendelet (a továbbiakban: EMMI rendelet) 1. melléklete határozza meg. A várandósgondozási könyvben a várandós nő természetes személyazonosító azonosító adatai mellett feltüntetésre kerül a társadalombiztosítási azonosító jele, lakóhelye, tartózkodási helye, munkahelye, foglalkozása, végzettsége, telefonszáma, a legközelebbi hozzátartozójának neve és címe (1. oldal). Feltüntetésre kerülnek benne továbbá a várandósgondozásban részt vevők adatai, azaz a területi védőnő, a háziorvos, a szülésznőgyógyász szakorvos vagy a szülésznő különböző adatai, pl. név, cím, telefonszám, e-mail cím (2. oldal).

A szülés várható idején, illetve azon kívül, hogy a szülész-nőgyógyász szakorvosnál a terhesség hányadik hetében jelent meg a várandós nő – amiből kiszámolható, hogy a várandósság 12. hete mikor került betöltésre – számos egészségügyi adatot is rögzítenek a könyvben. A várandósgondozási könyv tartalmazza a várandós nő vércsoportját, a várandósság rizikóbesorolását, a korábbi szülések és terhességek adatait (3. oldal). Ezen adatok között szerepel, hogy amennyiben már született gyermeke a várandós nőnek, úgy mikor szült, a várandósság hányadik hetében, hány grammal született az újszülött, milyen volt a fekvése – koponyavégű fekvés, medencevégű fekvés, haránt fekvés –, volt-e valamilyen szövődmény a szülés során, a szülés hüvelyi úton – episiotomiával vagy gátvédelemben, illetve fogóműtéttel vagy vacuum extractióval – vagy császármetszéssel történt, illetve, hogy a gyermek az újabb várandósgondozásba vételkor milyen egészségi állapotban van.

A „sikertelen terhességek” adatai között feltüntetésre kerül, hogy melyik évben, a várandósság hányadik hetében és hogyan szakadt meg a terhesség: művi vagy spontán vetéléssel, illetve volt- üszögterhessége vagy méhen kívüli terhessége a várandós nőnek.

A fentieken túlmenően a háziorvosi vizsgálat során rögzítésre kerül a kórtörténet – betegségek, műtétek – a szülők családjában előfordult fejlődési rendellenességek, öröklődő megbetegedések, gyógyszerérzékenység, illetve a vizsgálat lelete (4. oldal).

Rögzítésre kerül továbbá a fogorvosi vizsgálat lelete (4. oldal), a várandósgondozásban részt vevők bejegyzései (8.-13. oldal), amelyekben rögzítik, hogy mikor, a terhesség hányadik hetében mekkora volt a várandós nő testtömege, vérnyomása, pulzusa, haskörfogata, illetve rögzítik a fundus helyzetét is, valamint a vizsgálatok során észlelt tüneteket és az azokra javasolt terápiát vagy intézkedést.

A várandósgondozási könyv (6-7. oldal) tartalmazza továbbá az EMMI rendelet szerint térítésmentes, kötelező vizsgálatok – pl. különböző vérvizsgálatok, vizeletvizsgálatok, ultrahang vizsgálatok, illetve genetikai vizsgálat (14. oldal), ha a fogamzáskor a várandós nő a 37. életévét betöltötte – értékelését és az esetleges szakorvosi megjegyzéseket is, illetve, hogy mikor volt az utolsó menstruáció első napja, általában milyen hosszú egy menstruációs ciklus és mi a szülés várható időpontja.

A NAIH kiemelte, hogy a várandósgondozási könyvben nincs kifejezetten olyan rubrika, amelyben azt lehetne feltüntetni, hogy a várandósság 12. hete mikor került betöltésre, azt csak kiszámolni lehet abból, hogy a várandósság igazolása mikor, a várandósság hányadik hetében történt meg.

A NAIH megvizsgálta a Bank által a rendelkezésére bocsátott várandósgondozási könyvekről készített másolatokat, amelyekből kitűnik, hogy az egyes fiókok gyakorlata nem volt egységes abban, hogy milyen terjedelemben készítettek másolatot a várandósgondozási könyvről. Egyes fiókok a teljes várandósgondozási könyvet lemásolták, mások csak a természetes személyazonosító adatokat és a szülés várható időpontját tartalmazó oldalakat. Olyan másolatot is csatolt a Bank, amely kizárólag a várandósgondozási könyv azon oldaláról készült, amelyen a szakorvos megjelöli a szülés várható időpontját. Ezeken túlmenően azonban olyan másolatok is készültek, amelyek nem tartalmazták azokat az oldalakat, amelyeken a szülés várható időpontja szerepelt, vagy amelyből kiszámolható lett volna a várandósság 12. hete.

A fentiekben felsorolt adatok, különösen az egészségügyi adatok kezelése nem szükséges ahhoz, hogy a várandósság 12. hetének betöltését és a szülés várható időpontját a támogatottak a Bank felé igazolják, azaz a Bank által a várandósgondozási könyvek másolataiban kezelt adatok – ide nem értve a szülés várható időpontját, és a várandósság betöltött hetére vonatkozó bejegyzést – az adatkezelés céljának elérésére nem megfelelőek és nem relevánsak, azok a szükséges adatkörön jelentősen túlterjeszkednek, ezért a Hatóság megállapítja, hogy az Bank megsértette a GDPR 5. cikk (1) bekezdés c) pontja szerinti adattakarékosság elvét.

A Korm. rendelet vizsgált időszakban hatályos 9. § (2) bekezdés b) pontja szerint a törlesztés szüneteltetéséhez és gyermekvállalási támogatás igénybevételéhez a várandósság 12. hetének betöltését, valamint a szülés várható időpontját a várandósgondozási könyvvel kell igazolni, ha a kedvezmények érvényesítésére irányuló kérelem Bankhoz való benyújtására a gyermek megszületése előtt kerül sor.

Ezen adatok Bank általi kezelésére azért van szükség, hogy meg tudjon győződni a kedvezmények igénybevételére vonatkozó kérelmek jogosságáról, illetve a kedvezmények igénybevételét biztosítani tudja a támogatottak számára, azaz ezen adatok kezelése a közte és a támogatottak között létrejött szerződések teljesítése érdekében szükséges. Ezen nem változtat az sem, hogy mint a támogatás igénybevételnek feltételeként ezen adatok kezelését a Korm. rendelet teszi kötelezővé a Bank számára a szerződéses jogviszony keretein belül. Ebből kifolyólag a várandósság 12. hetének betöltésére és a szülés várható időpontjára vonatkozó adatok – amelyek a várandós nő személyes adatai – kezelésének GDPR 6. cikk szerinti jogalapja a GDPR 6. cikk (1) bekezdés b) pontja.

Kiemelendő továbbá, hogy önmagában a várandósság ténye a várandós személy egészségügyi adatának minősül, így az is, hogy a várandósság hányadik hetében jár és várhatóan mikor fog szülni. Az egészségügyi adatok a GDPR 9. cikke szerint a személyes adatok különleges kategóriáját képezik, és azok kezelése főszabály szerint tilos. Egészségügyi adatok jogszerűen csak akkor kezelhetők, ha a GDPR 6. cikk (1) bekezdésében meghatározott valamely jogalap mellett a GDPR 9. cikk (2) bekezdés szerinti körülmény is fennáll.

A GDPR 9. cikk (2) bekezdése nem tartalmaz olyan kivételi kört, amely kifejezetten szerződés teljesítése érdekében megengedné egészségügyi adatok kezelését. A GDPR 9. cikk (2) bekezdés a) pontja szerint egészségügyi adat kezelhető akkor, ha ahhoz az érintett egy vagy több konkrét célból kifejezetten hozzájárul. A Korm. rendelet 9. § (2) bekezdése szerint a házastársaknak a kölcsönszerződésben kifejezetten nyilatkozniuk kell arról, hogy a várandósság 12. hetének betöltésére vonatkozó és a szülés várható időpontjára vonatkozó adat kezeléséhez hozzájárulnak, azaz a Korm. rendelet látszólag rendezi az egészségügyi adatok kezelésének jogalapját. A NAIH álláspontja szerint az, hogy a hozzájárulás önkéntessége mint a hozzájárulás egyik érvényességi feltétele maradéktalanul érvényesül-e az adatkezelés során kérdéses, hiszen a hozzájárulás előzetes, szerződéskötéskor történő megadása nélkül maga a babaváró kölcsönszerződés sem jönne létre.

A Bank a rá irányadó jogszabályokat nem bírálhatja felül vagy járhat el azokkal ellentétesen, így a NAIH szerint azon házastársak esetében, akik a 12. hetét betöltött magzatukra tekintettel kívánnak a Korm. rendelet szerinti kedvezménnyel élni, jogszerűen kezeli a várandósság betöltött 12. hetére és a szülés várható időpontjára vonatkozó adatokat.

A NAIH a várandós nő TAJ számának a várandósgondozási könyv másolatában való kezelésével kapcsolatban kiemelte, hogy a TAJ szám a Szaztv. szerinti olyan azonosító kód, amelyet kezelni és továbbítani csak törvényben meghatározott szabályok szerint lehet. A Szaztv. 23. §-a azt is meghatározza, hogy milyen szervek, milyen célból jogosultak a TAJ szám kezelésére, azonban ezek között pénzintézetek nem kerültek feltüntetésre, az érintettek pedig igazolható módon nem járultak hozzá a TAJ számuk Bank általi kezeléséhez, azaz ezeket a Bank jogalap nélkül kezeli.

A várandósgondozási könyvben szereplő egészségügyi adatok kezeléséhez a várandós nők igazolható módon nem járultak hozzá, azok a kölcsönszerződés teljesítéséhez nem szükségesek – ide nem értve a várandósság betöltött 12. hetére és a szülés várható időpontjára vonatkozó adatokat –, azok kezelése a Bank jogszabályi kötelezettségének teljesítéséhez nem szükséges. Ezen túlmenően a Bank közérdekű feladatot nem lát el, közhatalmat nem gyakorol, az adatkezelés az érintettek vagy más természetes személyes létfontosságú érdekeinek védelme érdekében nem szükséges, valamint a Bank ezek kezelése kapcsán nem tud olyan jogos érdeket felmutatni, amely elsőbbséget élvezne az érintettek jogaival és szabadságaival szemben.

A NAIH álláspontja szerint a Banknak fel kellett volna ismernie, hogy a Korm. rendelet a GDPR rendelkezéseire figyelemmel alkalmazandó, és ezen jogszabályok együttes alkalmazásával egy prudens, az adatkezelés alapelveinek is megfelelő, arányos adatkezelési gyakorlatot kell kialakítania.

A NAIH megállíptotta, hogy a Bank megsértette a GDPR 5. cikk (1) bekezdés c) pontját, a 6.
cikk (1) bekezdését, 9. cikk (1) bekezdését, valamint a 12. cikk (1) bekezdését, ezért utasította a Bankot, hogy a még rendelkezésére álló várandósgondozási könyvekről és zárójelentésekről készített elektronikus
másolatokat törölje, a papír alapú másolatokat semmisítse meg, és ennek megtörténtét hitelt érdemlően igazolja.

A fenti jogsértések miatt a NAIH végül 35.000.000,- Ft adatvédelmi bírságot szabott ki a Bankra.

(naih.hu)

---